KnowledgeDeliver flaw exploited as a zero-day to install web shells

Vulnérabilité critique dans KnowledgeDeliver : Exploitation de clés machine statiques

Des pirates ont exploité une vulnérabilité « zero-day » dans le système de gestion d’apprentissage (LMS) KnowledgeDeliver pour déployer le shell web « Godzilla » et prendre le contrôle total de serveurs. L’attaque repose sur l’utilisation de clés de chiffrement ASP.NET identiques et codées en dur dans les fichiers de configuration par défaut, permettant une exécution de code à distance (RCE).

Points clés :

• Mécanisme d’attaque : Les attaquants utilisent la clé machine compromise pour signer des charges utiles malveillantes via la désérialisation du ViewState ASP.NET.
• Propagation : Une fois le contrôle du serveur obtenu, les attaquants injectent des scripts JavaScript malveillants incitant les utilisateurs à télécharger de faux plugins de sécurité, aboutissant à l’installation de balises Cobalt Strike.
• Mode opératoire : L’usage de clés machine partagées à travers de multiples déploiements clients rend l’exploitation aisée et sans authentification préalable.

Vulnérabilité identifiée :

• CVE-2026-5426 : Problème de désérialisation dû à l’utilisation de clés de machine (machineKey) codées en dur et partagées dans le fichier web.config des installations KnowledgeDeliver antérieures au 24 février 2026.

Recommandations :

• Mise à jour : Appliquer immédiatement les correctifs fournis par l’éditeur pour remédier à la configuration vulnérable.
• Rotation des clés : Générer et configurer des clés machine (machineKey) uniques et cryptographiquement robustes pour chaque instance déployée au lieu d’utiliser les valeurs par défaut.
• Surveillance : Inspecter les fichiers de configuration web pour détecter la présence de clés statiques connues et surveiller les comportements anormaux liés au ViewState ou à l’exécution de processus inhabituels sur les serveurs LMS.

Source